[Forensics] Windows - 로그인 정보

wmic netlogin list /format:List
query user
qwinsta
klist sessions

---

C:\Windows\system32>wmic netlogin list /format:List

AccountExpires=
AuthorizationFlags=0
BadPasswordCount=0
Comment=
CountryCode=0
Description=Network login profile settings for  on DESKTOP-4K1BO95
Flags=66081
FullName=
HomeDirectory=
HomeDirectoryDrive=
LastLogoff=**************.******+***
LastLogon=20200326201400.000000+540
LogonHours=Sunday: No Limit -- Monday: No Limit -- Tuesday: No Limit -- Wednesday: No Limit -- Thursday: No Limit -- Friday: No Limit -- Saturday: No Limit
LogonServer=\\*
MaximumStorage=4294967295
Name=DESKTOP-4K1BO95\pental
NumberOfLogons=182
Parameters=
PasswordAge=00000057041040.000000:000
PasswordExpires=
PrimaryGroupId=513
Privileges=2
Profile=
ScriptPath=
SettingID=
UnitsPerWeek=168
UserComment=
UserId=1001
UserType=Normal Account
Workstations=

위에서 볼수 있듯이 마지막으로 로그인한 시간이 언제인지 알수 있으며,

로그인한 계정과, 유저 아이디 등을 알수 있다.

---

query user

C:\Windows\system32>query user
 사용자 이름           세션 이름          ID  상태    유휴 시간  로그온 시간
>pental                console             1  활성        none   2020-03-18 오후 12:06

query user 이란 명령어를 사용하면 사용자 이름, 세션 이름, ID, 상태, 유휴 시간, 로그온 시간에 대한 정보를 알 수 있다.

---

qwinsta

C:\Windows\system32>qwinsta
 세션 이름         사용자 이름              ID  상태    종류        장치
 services                                    0  디스크
>console           pental                    1  활성

qwinsta 명령어를 사용하면 세션 이름, 사용자 이름, ID, 상태, 종류, 장치에 대한 정보를 얻을 수 있다.

---

klist sessions

C:\Windows\system32>klist sessions

현재 로그온 ID는 0:0xb7163입니다.
[0] 세션 1 0:0xb718e DESKTOP-4K1BO95\pental NTLM:Interactive
[1] 세션 1 0:0xb7163 DESKTOP-4K1BO95\pental NTLM:Interactive
[2] 세션 0 0:0x3e5 NT AUTHORITY\LOCAL SERVICE Negotiate:Service
[3] 세션 1 0:0x13382 Window Manager\DWM-1 Negotiate:Interactive
[4] 세션 1 0:0x1335d Window Manager\DWM-1 Negotiate:Interactive
[5] 세션 0 0:0x3e4 WORKGROUP\DESKTOP-4K1BO95$ Negotiate:Service
[6] 세션 1 0:0xc4f2 Font Driver Host\UMFD-1 Negotiate:Interactive
[7] 세션 0 0:0xc4e4 Font Driver Host\UMFD-0 Negotiate:Interactive
[8] 세션 0 0:0xc1c0 \ NTLM:(0)
[9] 세션 0 0:0x3e7 WORKGROUP\DESKTOP-4K1BO95$ NTLM:(0)

klist sessions 명령어를 사용하면 현재 로그온 ID가 무엇인지 알수 있으며, 세션에 대한 정보를 알수 있다.

 

추가적인 문의나 오탈자는 pental@kakao.com 을 통해서 메일로 보내주시면 감사하겠습니다.